大家好,我是小林。
俄乌军事冲突恶化后,俄罗斯受到影响「金融核弹」的制裁,SWIFT 支付系统将切断与俄罗斯多家银行的连接。
就在上周,乌克兰还想引爆「网络核弹」。乌克兰官员给互联网名称和数字分配机构(ICANN)邮件上发了一封电子邮件,要求 ICANN:
1.取消俄罗斯联邦使用的域.ru”、“.рф”、“.su”等域名;
2. 关闭为俄罗斯服务的 DNS 根服务器;
3. 帮助撤销相关域名 TTL/SSL 证书;
第一个要求是让根域名服务器不分析俄罗斯网站,将俄罗斯网站从互联网上消失。第二个要求是取消解析域名的能力,拒绝俄罗斯互联网用户。第三个要求是取消 HTTPS 证书使俄罗斯网站失信。
乌克兰提出这些要求的目的是防止俄罗斯的宣传机器,防止进一步的舆论宣传和虚假信息。
没过几天,ICANN 的 CEO 用邮件拒绝了乌克兰的所有要求。
我看了 ICANN 发给乌克兰的这封信,大部分内容都在说明,ICANN 的使命是为了确保互联网的正常工作,而不是取惩罚性行动、宣布制裁或限制部分互联网的接入。
其中,ICANN 从技术和政策上回答了乌克兰的三个要求,如下图所示:
这里给大家简单翻译一下:
- 对于国家代码的顶级领域,我们的工作主要涉及验证相应国家或地区授权方的请求。全球商定的政策没有规定 ICANN 可以根据您的要求单方面切断这些领域的连接。您可以理解为什么该系统不能根据来自一个地区或国家的要求运行。这一变化将对全球系统的信任和效用产生毁灭性和永久性的影响。
- 根域名服务器系统由许多地理分布节点组成,并由不同的独立操作和维护。
- 我们无法撤销您提到的域的特定 SSL 证书ICANN 不参与他们的发行。
从 ICANN 回答的这三点可以看的出,乌克兰提出的第一个要求从技术角度看 ICANN 是可以做到的,但由于政策原因不能做到,第二和第三个要求从技术角度 ICANN 做不到。
为什么 ICANN 有能力撤销域名
ICANN 全称称为互联网名称和数字地址分配机构,是位于洛杉矶的非盈利机构,主要由互联网协会成员组成,旨在管理全球域名和 IP 地址分配。
13个根域名服务器分别用于世界各地a 到 m 命名,如 a.root-servers.net、b.root-servers.net。一个是主服务器(即 a 服务器),12 台辅助服务器,美国有10 台,欧洲有2 台,日本有1台。
13 是一个逻辑概念,不仅是 13 物理服务器。
可以在 root-servers.org 到目前为止,看到,到目前为止,世界上有 1524个实例(instance),每根都有几个镜像,分布在世界各地。
13 个根域名服务器独立 IP 地址,但同一根域名服务器下的镜像共享 IP 地址,是通过的「任播」有兴趣实现这项技术的学生可以检查具体实现细节。
13 站上可以看到 13 个根服务器 IP 地址,https://www.internic.net/zones/named.cache:
A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e :: 2:30
B.ROOT-SERVERS.NET. 3600000 A 199.9.14.201
B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:200 :: b
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
C.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2 :: c
... ...
12 家庭机构管理根域名服务器A 由美国公司 Verisign 管理(Verisign 是 ICANN 最大托管人)。B 到 M 称为辅根,负责同步 A 根的内容。
A 根上最重要的文件之一是保存所有顶级域名托管信息的根区文件。
根区文件是由 ICANN 管理,在 ICANN 官网可查看此根区文件:https://www.internic.net/domain/root.zone。
这意味着 ICANN 有能力从根区文件中删除一个顶级域名,比如从根区文件中删除 .ru 域名的内容很快就会同步到所有的根,然后在所有的缓存过期后,世界上没有人能访问 .ru 后缀网站。
但事实上,大多数国家都有根镜服务器,所谓的根镜服务器是同步根服务器的内容,根镜服务器假设在自己的国家,由自己的国家管理。
假设 ICANN 删除了 .cn 顶级域名,如果修改不同步,实际上可以正常访问 .cn 后缀网站。
我还写了一篇关于美国能否让中国从互联网上消失的文章:美国能让中国从互联网上消失吗?答案也不好,国内有自己的根镜服务器,我们可以控制根服务器同步内容,加上国内分析域名,不会分析美国根域服务器,而是访问国内运营商维护的根镜服务器。